Je bezpečné dát svou e-mailovou adresu službě, jako je hasibeenpwned ve světle publikace “ Collection # 1 ”?

Tuto otázku několikrát vysvětlil Troy Hunt na svém blogu, Twitteru a v často kladených dotazech na haveibeenpwned.com

Viz zde :

Když hledáte e-mailovou adresu

Hledání e-mailové adresy načte pouze adresu z úložiště a vrátí ji v odpovědi , hledaná adresa není nikdy nikde výslovně uložena. Situace, ve kterých může být implicitně uloženo, naleznete níže v části Protokolování .

Narušení dat označené jako citlivé se nevracejí ve veřejných vyhledáváních, lze je zobrazit pouze pomocí oznamovací služby a nejprve ověřením vlastnictví e-mailové adresy. Citlivá porušení mohou prohledávat také vlastníci domény, kteří prokáží, že doménu ovládají, pomocí funkce vyhledávání domény . Přečtěte si, proč lze necitlivá porušení veřejně prohledávat.

^{Zobrazit také Protokolování odstavec}

A z FAQ :

Jak zjistím, že web pouze nezískává prohledávané e-mailové adresy?

Neděláte to, ale není. Stránka má jednoduše sloužit jako bezplatná služba pro lidi, kteří mohou posoudit riziko v souvislosti s chybou jejich účtu. stejně jako u jiných webových stránek, pokud máte obavy o záměr nebo zabezpečení, nepoužívejte je.

Samozřejmě máme důvěřovat Troyovi Huntovi v jeho tvrzeních, protože nemáme způsob, jak dokázat, že nedělá něco jiného, při vyřizování vašeho konkrétního požadavku.
Myslím si však, že je více než fér , které byly ukázány, jsou cennou službou a sám Troy Hunt je respektovaným členem komunity infoseců.

Ale předpokládejme, že nedůvěřujeme Tróji: o co musíš přijít? Můžete mu sdělit svou e-mailovou adresu. Jak velké je pro vás riziko, když stačí zadat libovolnou e-mailovou adresu, kterou chcete?

Na konci dne je pro vás HIBP bezplatná služba (!), Která stojí peníze Troy Hunt . Pokud se nechcete rozhodnout riskovat, že možná mnoho lidí se v Troy Hunt mýlí, můžete si sami prohledat všechny databáze hesel na světě, protože byste odhalili své e-mailová adresa.

Komentáře

• Jak již bylo zmíněno dříve: toto platí pouze pro haveibeenpwned.com . Jiné služby mohou být povrchní a prodat svá data poskytovatelům spamu.
• HIBP is a free service for you(!) that costs Troy Hunt money Zjistil jsem, že to snižuje vaši odpověď, protože takové služby obvykle najdou způsob, jak vydělat peníze z údajů, které jim posíláte (např. cílená reklama). Nereaguje ‚ na “ je to bezpečně “ otázka.
• @Aaron Způsob, jakým Troy Hunt vydělává peníze, je sponzorství na jeho blogu a je vlastně hlavním řečníkem mnoha významných událostí. Kromě toho také vytváří kurzy Pluralsight, na kterých samozřejmě také vydělává peníze.
• Kromě podání žádosti pouze na haveibeenpwned.com se tato odpověď vztahuje pouze na haveibeenpwned.com v době zveřejnění této odpovědi . Nutnou výhradou k jakémukoli potvrzení je, že služba není po zbytek své životnosti zaručena jako důvěryhodná. Server může být napaden, politika může být změněna, může dojít k výkupu, zabavení názvu domény nebo důvěryhodný člověk může narazit na svůj příběh o původu supervillain.
• @Aaron FYI Troy Hunt dělá cílenou reklamu … web je sponzorován heslem 1 a vzhledem k tomu, že kdokoli jde na tento web, má nebo by mohl mít zájem o zabezpečení heslem, jsou tyto reklamy formou cílené reklamy

Troy Hunt je velmi respektovaný odborník na bezpečnost informací a tuto službu využívají miliony lidí po celém světě, dokonce i někteří správci hesel ověřte, zda hesla vybraná uživateli byla zapojena do narušení dat.

Viz například https://1password.com/haveibeenpwned/

Podle webových stránek se 1Password integruje s oblíbeným webem Have I Been Pwned, aby sledoval vaše přihlašovací údaje ohledně případných narušení zabezpečení nebo slabých míst.

Zadání tvoje ema Adresa na tomto webu vám sdělí, k jakým porušením dat patří tato e-mailová adresa, abyste se mohli vrátit na dotčený web a změnit své heslo. To je zejména důležité, pokud jste použili stejné heslo pro více webů, kde lze přihlašovací údaje odcizené z jednoho webu použít k útoku na jiné weby pomocí techniky zvané také útok Credential Stuffing.

Následující příspěvek StackExchange má odpověď samotného Troye s dalším vysvětlením této služby: Je “ Byl jsem Pwned ‚ s “ Seznam vytvořených hesel, který je opravdu užitečný?

Komentáře

• Propojená otázka a odpověď Hunt se konkrétně zabývá “ Pwned Password “ funkce.
• @TomK. ano, je to správné a výše uvedený odkaz jsem uvedl jako referenci a rozšíření této otázky, abych dal věci do dalšího kontextu.

Na toto jste se výslovně nezeptali, ale velmi to souvisí s vaší otázkou (a zmíněnou v komentářích), tak jsem si myslel, že to uvedu. Zejména některé další podrobnosti mohou poskytnout určité vodítko pro hodnocení podobných věcí.

Argument

haveibeenpwned má také službu, která vám umožní vyhledat, zda dané heslo již dříve unikly. Viděl jsem, že tato služba je ještě “ pochybná „. Konec konců, kdo chce jít kolem, nacpat své heslo na náhodném webu? Dokázali byste si dokonce představit rozhovor se skeptikem:

• Self: Pokud sem zadám své heslo, řekne mi, zda se již dříve objevilo v hacku! To mi pomůže zjistit, zda je bezpečné!
• Skeptik: Ano, ale musíte jim dát své heslo
• Self: Možná, ale i když jim nedůvěřuji, pokud mi také neznají můj e-mail, pak to není velký problém a neptají se pro mě e-mailová adresa
• Skeptik: Kromě toho, že mají také formulář, který požaduje váš e-mail. Pravděpodobně používají soubor cookie k přiřazení vašich dvou požadavků a k získání vašeho e-mailového a hesla dohromady. Pokud jsou opravdu záludní, používají metody sledování založené na jiných než souborech cookie, takže je ještě těžší říct, že to dělají!
• Self: Počkejte! Zde se píše , že mi neodesílají heslo, pouze prvních pár znaků mého hesla “ s hash. Určitě z toho nemohou získat moje heslo!
• Skeptic Jen proto, že říkají neznamená to jeho pravdu.Pravděpodobně pošlou vaše heslo, spojí ho s vaším e-mailem (protože pravděpodobně zkontrolujete svůj e-mail ve stejné relaci) a poté hacknou všechny vaše účty.

Nezávislé ověření

Samozřejmě nemůžeme ověřit, co se stane, když jim pošleme naše údaje. Vaše e-mailová adresa bude definitivně odeslána, a neexistují žádné sliby, že to tajně nezmění na obrovský seznam e-mailů, na který se zvykne další vlna e-mailů nigerijského prince.

A co heslo, nebo skutečnost, že tyto dva požadavky mohou být spojeny? U moderních prohlížečů je velmi snadné ověřit, že vaše heslo není skutečně odesláno na jejich server. Tato služba je navržena tak, že pouze prvních 5 znaků hash hesla se odešle. Služba poté vrátí hashe všech známých hesel, která začínají touto předponou. Poté klient jednoduše porovná celý hash s vrácenými, aby zjistil, zda existuje shoda. Ani heslo, ani dokonce i hash hesla je dokonce odeslán.

Můžete to ověřit tak, že přejdete na stránku pro vyhledávání hesel, otevřete své vývojářské nástroje a podíváte se na kartu síť ( chrome , firefox ). Zadejte heslo (ne vaše, pokud se stále obáváte) a stiskněte Odeslat. Pokud to uděláte pro password, uvidíte požadavek HTTP, který zasáhne https://api.pwnedpasswords.com/range/5BAA6 (5BAA6 je prvních 5 znaků hash password). Nejsou připojeny žádné soubory cookie a skutečné zadané heslo se v požadavku nikdy nezobrazí. Odpovídá seznamem ~ 500 položky, včetně 1E4C9B93F3F0682250B6CF8331B7EE68FD8 které (v tuto chvíli) obsahují seznam 3645804 shod – alias hesla password se objevil přibližně 3,5 milionukrát při samostatných únikech hesla. (hash SHA1 password je 5BAA61E4C9B93F3F0682250B6CF8331B7EE68FD8).

Pouze s těmito informacemi služba nemá žádný způsob, jak zjistit, jaké je vaše heslo, a to ani v případě, že se zobrazuje v jejich databázi. Existuje téměř neomezená paleta hashů, které mohou přijít po těchto prvních 5 číslicích, takže nemohou dokonce hádejte, zda je vaše heslo v jejich databázi.

Opět nemůžeme s jistotou vědět, co se stane s da poté, co opustí náš prohlížeč, ale určitě vynaložili velké úsilí na to, abyste mohli zkontrolovat, zda nedošlo k úniku vašeho hesla, aniž byste jim heslo skutečně zaslali.

Souhrnně je Troy rozhodně respektovaný člen komunity, a existují určité aspekty, které můžeme ověřit. Určitě nikdy nenastaly případy, kdy by důvěryhodní členové komunity tuto důvěru později prolomili 🙂 Tyto služby rozhodně využívám, i když nevím, jestli chcete důvěřovat nějaké náhodné osobě na internetu. Pak znovu, pokud jste nebyli „nejste ochotni důvěřovat nějakému náhodnému člověku na internetu, tak proč jste tady?

Komentáře

• Web vám může posílat různé JS, pokud použijte starý vs. moderní prohlížeč. Mohlo by zjistit, zda je vývojářská konzole otevřená. Mohlo by to vzorkovat hesla 1: 1000, aby se snížila pravděpodobnost detekce. Při uvolnění by mohlo zadat heslo pro prostý text. Atď. A pokud pošlete slabé heslo, lze ho identifikovat většinou z prvních pěti znaků (‚ je celý bod služby). Pokud v tom chcete být paranoidní, buďte důkladní 🙂
• @Tgr 🙂 Přemýšlel jsem o přidání nějakých podobných komentářů, ale to nebylo ‚ t ve skutečnosti k tomu, aby byli lidé paranoidní, ale spíše k poukázání na to, že internet nemusí být ‚ černou skříní. Téměř ve všech prohlížečích jsou dnes užitečné nástroje.
• @Tgr Vlastně identifikovat heslo od prvních 5 znaků hash je obtížné. Jediným způsobem, jak to skutečně udělat, je převzít vaše heslo a e-mail a spam proti službě, o které je známo, že máte účet. Na hash je 300–500 hesel “ bin „, takže je pravděpodobné, že hrubou silou proti několika málo zabezpečeným online heslům servis. Pokud bylo vaše heslo v seznamu, mohlo by to být potenciálně prolomeno. V praxi to však může být složité. Pokud ‚ nepoužíváte uniklé heslo, odesílání prvních 5 hash znaků nemá žádné riziko.
• To ‚ je pravděpodobné, že vyzkouší tolik hesel proti téměř jakékoli online službě. Jinak než banky, jen velmi málo webů vás uzamkne po pevném počtu neúspěšných pokusů o přihlášení (úhel obtěžování by byl problematičtější než ten bezpečnostní). Rozumné weby omezují přihlašování, takže procházení seznamu může trvat 1–2 dny, ale to je ‚ vše.Samozřejmě, pokud vaše heslo nemůže být prozrazeno, to není riziko, ale pokud vaše heslo nemůže být prozrazeno, proč se obtěžovat jeho kontrolou?
• @Tgr Indeed. “ trik “ spočívá v tom, že možná nevíte, jakou službu zkontrolovat. Pokud víte jistě, že někdo má u dané služby účet a nedělá to ‚, můžete docela rychle hrubou silou hesla (jak říkáte). Pokud se dostanete dovnitř, pak skvělé (ale ne pro ně!). Nedostatek shody je však obtížnější diagnostikovat. Nepoužívají tuto službu? Použili jiné heslo než to, které zkontrolovali? Použili v této službě jiný e-mail? Je to ‚ určitě věrohodný útok, ale ‚ nemá 100% úspěšnost.

Mnoho odpovědí zde hovoří o konkrétní službě „Have I were Pwned“. Souhlasím s nimi, že tato služba je důvěryhodná. Chtěl bych říci několik bodů, které se obecně vztahují na všechny tyto služby.

1. Nepoužívejte službu, která vyžaduje ke kontrole e-mail i heslo.
2. Použít služba, která umožňuje anonymní kontrolu bez nutnosti přihlášení.

Tyto služby kontrolují narušení dat, ke kterému již došlo. Pokud vaše e-mailová adresa porušuje tyto služby a mnoho dalších již o nich ví to. Hledání vašeho e-mailu nespustí nic nového.

Maximum, které v tomto případě ztratíte, je zveřejnění vaší e-mailové adresy. To však platí pro všechny webové stránky nebo zpravodaje.

Komentáře

• Přímo k věci a ve skutečnosti poskytuje racionální vysvětlení, proč při sdílení vašeho e-mailu nehrozí žádné skutečné riziko. Hlasovalo pro.

Pokud nedůvěřujete HIBP natolik, abyste mu dali svůj e-mail, ale důvěřujte Mozille (např. protože jste jim již dali vaše e-mailová adresa pro některé další rea syn), můžete použít Firefox Monitor , službu vytvořenou společností Mozilla ve spolupráci s HIBP . Dotazují se na databázi HIBP, aniž by vám poslali e-mail na HIBP. (Nejsem si jistý, zda Mozilla obdrží vaši e-mailovou adresu nebo zda je hašována na straně klienta.)

Komentáře

• To ano neodpovídám na otázku, protože se Firefox Monitor kvalifikuje jako „služba jako mítibeenpwned“, myslím. ‚ právě říkáte „nedělejte ‚ důvěryhodnou službu A, raději důvěryhodnou službu B“, aniž byste vysvětlili, proč by měl někdo důvěřovat službě jako že na prvním místě.
• @Norrius Mnoho lidí již Mozille dalo svůj e-mail a využívání jejich služeb si již

Záleží na tom, co máte na mysli pod pojmem „zabezpečený“, a jak jste paranoidní.

Jen proto, že tvůrcem webu je odborník na bezpečnost, neznamená to, že web nemá žádné chyby zabezpečení.

Web podporuje TLSv1.2 a TLSv1.3, což je skvělé samozřejmě.

https://haveibeenpwned.com používá Cloudflare . Jak všichni víme, Cloudflare je Muž uprostřed . Šifrování z webu je na cestě ke skutečnému serveru přerušeno pomocí Cloudflare.

Nyní například NSA může zaklepat na dveře Cloudflares a nechat data přejít. Ale nemusíte se bát ostatních útočníků, protože data mohou dešifrovat pouze Cloudflare a skutečný cílový server.

Pokud ne “ Nezáleží na tom, jestli NSA nebo jiné zpravodajské agentury dostanou vaše data, která jste odeslali https://haveibeenpwned.com, pak by neměl být žádný problém. Pokud nedůvěřujete bezpečnostnímu expertovi.

Osobně bych raději nechal vystavit své přihlašovací údaje k účtu, než aby Cloudflare (NSA) dostával moje data.

Poznámka: Toto je odpověď pouze pro paranoidní lidi. Pro ty, kteří nejsou paranoidní, by jiné odpovědi měly fungovat lépe.

Komentáře

• I ‚ Je těžké pochopit vaši odpověď, podle mého názoru je to nesmysl, a proto jsem tuto odpověď odmítl.
• @KevinVoorn, ok, ‚ Upravil jsem svou odpověď, aby mohli těžit i ti, kdo ‚ nerozumí šifrování tolik.
• Děkuji za vysvětlení, i když mám potíže s Personally, I'd rather have my account credentials exposed than the Cloudflare (NSA) getting my data.. Já sám bych nechtěl připojit Cloudflare k NSA (což je osobní pohled), ale ‚ nevidím proč existuje volba mezi sdílením vašich údajů s NSA a zpřístupněním pověření účtu. Možná byste to mohli rozvinout.
• Správně, samozřejmě je nejlepší, když se pověření vůbec vůbec nedostanou k veřejnosti. Ale v nejhorším případě, pokud se to stane. Tím mám na mysli to, že pokud se moje pověření stanou veřejnými, mám malou časovou výhodu, abych si změnil heslo, než najdou můj e-mail. Tato malá časová výhoda neexistuje s přímým připojením ke špionážnímu serveru. V nejhorším případě bude váš e-mail klepnut přímo a uložen v databázi. Nyní mají vaši e-mailovou adresu. Možná je to opravdu jen pro paranoidní lidi. Za předpokladu, že vlastník ‚ nepracuje pro žádnou zpravodajskou agenturu.
• Nemyslím si ‚ že víte, jak web funguje. Když jsou data (váš e-mail, heslo atd.) Vystavena úniku dat, to znamená, když weby ukládají data a upozorní vlastníky, pokud chtějí, když jsou součástí úniku dat. Databáze uchovává pouze data z úniků dat, takže není důvod se obávat, že se vaše pověření stanou veřejnými, protože haveibeenpwnd.com je prozrazuje, data již jsou veřejná.